Falha com cinco anos corrigida no Docker

Publicado em por

Falha com cinco anos corrigida no Docker

A equipa da Docker revelou uma nova atualização de segurança para o seu software, focada em corrigir uma vulnerabilidade crítica de segurança, que se encontrava no mesmo faz mais de cinco anos.

A falha afetava certas versões do Docker Engine, e poderiam permitir aos atacantes contornar as proteções do AuthZ sob certas condições. A falha foi inicialmente descoberta no Docker Engine v18.09.1, lançada em Janeiro de 2019, mas por alguma razão, manteve-se em todas as futuras versões até agora.

O potencial de ataque da falha foi redescoberto em Abril de 2024, sendo que apenas agora a equipa lançou a correção oficial para o problema. Bem ora a falha tenha estado mais de cinco anos presente no software, desconhecem-se casos onde a mesma tenha sido ativamente explorada.

A falha explora um erro no plugin AuthZ, que pode permitir aos atacantes enviarem pedidos na API cuidadosamente criados para explorar a falha, o que pode permitir obter acesso à instalação. A falha afeta as versões do Docker até v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3, e v27.1.0.

A ter em conta que a falha apenas afeta instalações que usam o AuthZ como meio de autenticação, sendo que todas as restantes versões não se encontram vulneráveis a esta falha.